Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

ประกาศความปลอดภัยของ Android - มกราคม 2020

เผยแพร่เมื่อ 6 มกราคม 2020 | อัปเดตเมื่อ 7 มกราคม 2020

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android แพตช์ความปลอดภัยระดับ 2020-01-05 หรือใหม่กว่าช่วยแก้ปัญหาเหล่านี้ทั้งหมด หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

พาร์ทเนอร์ Android จะได้รับแจ้งเกี่ยวกับปัญหาทั้งหมดอย่างน้อยหนึ่งเดือนก่อนการเผยแพร่ แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP

ปัญหาที่รุนแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญใน Media framework ที่สามารถเปิดใช้งานผู้โจมตีระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบของการใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบโดยสมมติว่าแพลตฟอร์มและการลดการให้บริการถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

โปรดดูส่วนการ ลดการป้องกัน ของ Android และ Google Play สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

การบรรเทาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทา ความ เสียหายจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการเช่น Google Play Protect ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยอาจถูกใช้ประโยชน์บน Android ได้สำเร็จ

  • การแสวงหาประโยชน์จากปัญหาต่างๆบน Android ทำได้ยากขึ้นโดยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ที่มี บริการมือถือของ Google และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play

รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2020-01-01

ในส่วนด้านล่างเราให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2020-01-01 ช่องโหว่ถูกจัดกลุ่มภายใต้องค์ประกอบที่มีผลกระทบ มีคำอธิบายของปัญหาและตารางที่มี CVE การอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อมีเราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

กรอบ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถข้ามข้อกำหนดการโต้ตอบของผู้ใช้เพื่อเข้าถึงสิทธิ์เพิ่มเติมได้

CVE อ้างอิง ประเภท ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2020-0001 A-140055304 EoP ปานกลาง 10
EoP สูง 8.0, 8.1, 9
CVE-2020-0003 A-140195904 EoP สูง 8.0
CVE-2020-0004 A-120847476 DoS สูง 8.0, 8.1, 9, 10

กรอบสื่อ

ช่องโหว่ในส่วนนี้สามารถเปิดใช้งานผู้โจมตีระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ประเภท ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2020-0002 A-142602711 RCE ปานกลาง 10
RCE สำคัญ 8.0, 8.1, 9

ระบบ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การเปิดเผยข้อมูลระยะไกลโดยไม่จำเป็นต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม

CVE อ้างอิง ประเภท ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2020-0006 A-139738828 ID สูง 8.0, 8.1, 9, 10
CVE-2020-0007 A-141890807 [ 2 ] ID สูง 8.0, 8.1, 9, 10
CVE-2020-0008 A-142558228 ID สูง 8.0, 8.1, 9, 10

การอัปเดตระบบ Google Play

ปัญหาต่อไปนี้รวมอยู่ในคอมโพเนนต์ Project Mainline

ส่วนประกอบ CVE
ตัวแปลงสัญญาณสื่อ CVE-2020-0002

รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2020-01-05

ในส่วนด้านล่างเราให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2020-01-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่มีผลกระทบและรวมถึงรายละเอียดต่างๆเช่น CVE การอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง องค์ประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อมีเราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

ส่วนประกอบเคอร์เนล

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้สามารถเปิดใช้งานผู้โจมตีที่อยู่ใกล้โดยใช้การส่งผ่านที่ออกแบบมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2019-17666 A-142967706
เคอร์เนลต้นน้ำ
RCE สำคัญ ไดรเวอร์ Realtek rtlwifi
CVE-2018-20856 A-138921316
เคอร์เนลต้นน้ำ
EoP สูง เคอร์เนล
CVE-2019-15214 A-140920734
เคอร์เนลต้นน้ำ
EoP สูง ระบบย่อยเสียง
CVE-2020-0009 A-142938932 * EoP สูง Ashmem

ส่วนประกอบ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2018-11843 A-111126051
QC-CR # 2216751
ไม่มี สูง โฮสต์ WLAN
CVE-2019-10558 A-142268223
QC-CR # 2355428
ไม่มี สูง เคอร์เนล
CVE-2019-10581 A-142267478
QC-CR # 2451619
ไม่มี สูง เสียง
CVE-2019-10585 A-142267685
QC-CR # 2457975
ไม่มี สูง เคอร์เนล
CVE-2019-10602 A-142270161
QC-CR # 2165926 [ 2 ]
ไม่มี สูง แสดง
CVE-2019-10606 A-142269492
QC-CR # 2192810 [ 2 ]
ไม่มี สูง เคอร์เนล
CVE-2019-14010 A-142269847
QC-CR # 2465851 [ 2 ]
ไม่มี สูง เสียง
CVE-2019-14023 A-142270139
QC-CR # 2493328
ไม่มี สูง เคอร์เนล
CVE-2019-14024 A-142269993
QC-CR # 2494103
ไม่มี สูง NFC
CVE-2019-14034 A-142270258
QC-CR # 2491649 [ 2 ] [ 3 ]
ไม่มี สูง กล้อง
CVE-2019-14036 A-142269832
QC-CR # 2200862
ไม่มี สูง โฮสต์ WLAN

ส่วนประกอบปิดของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ปิดของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในประกาศความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2019-2267 A-132108182 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10548 A-137030896 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10532 A-142271634 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10578 A-142268949 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10579 A-142271692 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10582 A-130574302 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10583 A-131180394 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10611 A-142271615 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14002 A-142271274 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-1400 3 A-142271498 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14004 A-142271848 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14005 A-142271965 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14006 A-142271827 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14008 A-142271609 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14013 A-142271944 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14014 A-142270349 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14016 A-142270646 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14017 A-142271515 * ไม่มี สูง องค์ประกอบปิด

คำถามและคำตอบทั่วไป

ส่วนนี้ตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่?

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

  • ระดับแพตช์ความปลอดภัยของ 2020-01-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2020-01-01
  • ระดับแพตช์ความปลอดภัยของปี 2020-01-05 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2020-01-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]: [2020-01-01]
  • [ro.build.version.security_patch]: [2020-01-05]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไปการอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัย 2020-01-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งโปรแกรมปรับปรุงความปลอดภัย

2. เหตุใดแถลงการณ์นี้จึงมีแพตช์ความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ส่วนย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2020-01-01 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้นรวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับ 2020-01-05 หรือใหม่กว่าต้องรวมแพตช์ที่เกี่ยวข้องทั้งหมดไว้ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรได้รับการสนับสนุนให้รวมการแก้ไขสำหรับปัญหาทั้งหมดที่กำลังแก้ไขอยู่ในการอัปเดตเดียว

3. รายการในคอลัมน์ Type หมายถึงอะไร?

รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่จะอ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำจำกัดความ
RCE การเรียกใช้รหัสระยะไกล
EoP การยกระดับสิทธิพิเศษ
ID การเปิดเผยข้อมูล
DoS การปฏิเสธการให้บริการ
ไม่มี ไม่มีการจัดประเภท

4. รายการในคอลัมน์ อ้างอิง หมายถึงอะไร?

รายการในคอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิง

คำนำหน้า ข้อมูลอ้างอิง
ก - รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิงของ Qualcomm
M- หมายเลขอ้างอิง MediaTek
N- หมายเลขอ้างอิง NVIDIA
B- หมายเลขอ้างอิงของ Broadcom

5. * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ อ้างอิง หมายถึงอะไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะมี * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ การอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหานั้นจะมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ที่มีให้จาก ไซต์ Google Developer

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกระหว่างกระดานข่าวนี้กับกระดานข่าวความปลอดภัยของอุปกรณ์ / พันธมิตรเช่นกระดานข่าว Pixel

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยนี้จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์ / พันธมิตรไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์และชิปเซ็ต Android อาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยเฉพาะสำหรับผลิตภัณฑ์ของตนเช่น Google , Huawei , LGE , Motorola , Nokia หรือ Samsung

เวอร์ชัน

เวอร์ชัน วันที่ หมายเหตุ
1.0 6 มกราคม 2020 เผยแพร่แถลงการณ์แล้ว
1.1 7 มกราคม 2020 ปรับปรุงกระดานข่าวสารเพื่อรวมลิงก์ AOSP